Вопрос по авторизации

Scroll · 07.11.2009, 11:07

Сейчас у меня сделано так:
Есть три поля: login, password_md5, session_id.

При успешной авторизации в куки добавляется логин и сгенерированный session_id (чтобы не хранить в куках пароль, пусть даже захешированый).

Проблема в том, что если юзер авторизовался сначала на одном компе, а потом на другом, авторизация на первом компе вылетает.

Очевидно, что чтобы обойти это ограничение, нельзя при каждой авторизации генерировать новый session_id. Но тогда теряется вся идея, и с таким же успехом в куках можно сохранять вместо session_id пароль. А значит, безопасность страдает.

Может я чего-то упускаю из виду? Может есть еще какие-то алгоритмы авторизации?

kost · 08.11.2009, 18:18

Цитата:

Сообщение от Scroll

При успешной авторизации в куки добавляется логин и сгенерированный session_id

А как у вас проверяется впоследствии, что пользователь авторизован? Сравнивается session_id из cookies с хранящимся в базе?

Scroll · 09.11.2009, 11:32

kost, именно так.

kost · 09.11.2009, 22:32

Сделайте отдельную таблицу, и в ней сохраняйте пары login -- session_id.

Scroll · 10.11.2009, 10:30

Т.е. чтобы у одного юзера могло быть несколько session_id?

kost · 11.11.2009, 10:21

Да, так.

Scroll · 11.11.2009, 11:01

Интересная идея. Надо обмозговать.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Вопрос про 301	artyt	Вопросы по SEO	2	06.01.2010 01:57
вопрос	Hasmik	Технологии Flash	1	17.03.2007 07:49
Вопрос	kors@r	Кальянная	16	06.10.2005 22:01
Скрипт авторизации	nikson	ASP, Perl, PHP и MySQL	8	25.08.2005 01:06
Вопрос...lol... :)	Remy Zero	Зал дебютантов	10	12.05.2004 12:33

07.11.2009, 11:07	#1
Scroll	Сейчас у меня сделано так: Есть три поля: login, password_md5, session_id. При успешной авторизации в куки добавляется логин и сгенерированный session_id (чтобы не хранить в куках пароль, пусть даже захешированый). Проблема в том, что если юзер авторизовался сначала на одном компе, а потом на другом, авторизация на первом компе вылетает. Очевидно, что чтобы обойти это ограничение, нельзя при каждой авторизации генерировать новый session_id. Но тогда теряется вся идея, и с таким же успехом в куках можно сохранять вместо session_id пароль. А значит, безопасность страдает. Может я чего-то упускаю из виду? Может есть еще какие-то алгоритмы авторизации?

09.11.2009, 22:32	#4
kost	Сделайте отдельную таблицу, и в ней сохраняйте пары login -- session_id.

10.11.2009, 10:30	#5
Scroll	Т.е. чтобы у одного юзера могло быть несколько session_id?

11.11.2009, 11:01	#7
Scroll	Интересная идея. Надо обмозговать.